Di Caprio, 'Una battaglia dopo l'altra' per lui e chi lo guarda: ti infetta il PC e sono dolori

I ricercatori di Bitdefender hanno individuato una nuova campagna malware che sfrutta il download illecito del nuovo film "Una battaglia dopo l'altra" con Leonardo Di Caprio come veicolo di infezione. L'indagine è partita da un aumento anomalo di rilevamenti legati a un presunto torrent del film, diventato rapidamente un'esca efficace per i cybercriminali.

Naturalmente, chi scarica copie pirata di qualsiasi prodotto audiovisivo o ludico, già di base riduce sensibilmente la sicurezza della propria macchina. In questo specifico, però, un semplice download si trasforma in un rischio davvero concreto. Al posto di un file video, le vittime scaricano una struttura composta da script PowerShell e archivi di immagini, progettata per assemblare in memoria un agente di comando e controllo (C2).

Il risultato finale è l'installazione di Agent Tesla, un RAT (Remote Access Trojan) attivo esclusivamente in memoria, caratteristica che rende più difficile l'individuazione da parte delle soluzioni di sicurezza tradizionali poiché non viene scritto nulla sul drive di archiviazione.

Una volta eseguito, il malware garantisce agli attaccanti accesso remoto completo a sistemi Windows, permettendo il furto di dati personali, informazioni finanziarie e l'utilizzo del dispositivo compromesso per ulteriori attacchi.

L'utilizzo di torrent e falsi file multimediali per distribuire malware non è una novità, ma negli ultimi mesi questo metodo ha registrato una crescita rilevante. In precedenza, titoli di grande richiamo come Mission: Impossible – The Final Reckoning erano già stati sfruttati per diffondere Lumma Stealer, un malware focalizzato sulla sottrazione di password, cookie, wallet di criptovalute e credenziali di strumenti di accesso remoto.

Agent Tesla è un nome ben noto agli analisti di sicurezza: il trojan è stato utilizzato per anni in campagne di phishing via email e persino in falsi portali di registrazione per vaccinazioni COVID-19. La nuova operazione analizzata da Bitdefender mostra un livello di complessità superiore, con più fasi progettate per eludere il rilevamento e mantenere la persistenza dell'attacco.

L'attacco si articola in ben 11 fasi: si parte dal file "CD.Ink", un collegamento con il quale l'utente ignaro pensa di avviare la riproduzione, fino all'esecuzione di un'attività pianificata nel Task Scheduler mascherata dal nome "RealtekDiagnostic". All'interno dell'archivio, inoltre, sono presenti numerosi file come "Part2.subtitles.srt" che in realtà non contenevano immagini o sottotitoli, ma parti del codice che venivano estratte ed eseguite eludendo completamente i sistemi di sicurezza integrati di Windows.

Naturalmente, il consiglio da parte nostra è sempre lo stesso: evitare completamente di scaricare materiale pirata. Oltre ad essere illegale, espone a rischi concreti per la sicurezza con hacker che riescono ad affinare di giorno in giorni i metodi di infezione.